课题3-2 认证技术应用.ppt

图1下页3.1 电子商务系统的安全要求 3.2 数据加密技术 3.3 认证技术 3.4 电子商务的安全交易标准目 录课题3 电子商务安全图23.3 认证技术n3.3.1身份认证n3.3.2认证中心n3.3.3数字证书n3.3.4数字摘要n3.3.5数字签名n3.3.6数字时间戳图3认证技术是保证电子商务交易安全的一项 重要技术 主要包括身份认证和信息认证前者用于 鉴别用户身份，后者用于保证通信双方的 不可抵赖性以及信息的完整性图4电子商务身份认证的目标信息来源的可信性 完整性信息没有被修改、延迟和替 换； 不可抵赖性信息的发送方或接收方 不能否认 访问控制拒绝非法用户访问3.3.1 身份认证图5用户身份认证的最简单、最广的一种方 法就是口令方式，口令由数字字母、特殊字 符等组成这种身份认证方法操作十分简单，但最 不安全不能抵御口令猜测攻击四种常用的身份认证方式(1) 口令方式图6标记是一种用户所持有的某个 秘密信息(硬件)，上面记录着用于 系统识别的个人信息2) 标记方式图7某些人体生物学特征，如指纹 、声音、DNA图案、视网膜扫描 图案进行身份认证3) 人体生物学特征方式图8使用CA中心颁发的数字证书 进行网上身份的识别。

4) PKI方式图9 3.3.2 认证中心 （CA--Certificate Authority） 也称之为电子证书认证中心，是承担网上安全 电子交易认证服务，能签发数字证书，确认用 户身份的、与具体交易行为无关的第三方权威 机构国外的认证中心通常是企业性的服务机 构，主要任务是受理证书的申请、签发 和管理数字证书其核心是公共密钥基 础设施（PKI）图10认证机构的可靠程度取决于①系统的保密结构 ②确认用户身份的政策和方法 ③用户是否能信赖他人的证明 ④机构在安全管理方面的经验图111.认证中心的职能 认证机构的核心职能是发放和管理 用户的数字证书图12 认证中心的四大具体职能认证中心接受个人、单位的数 字证书申请，何时申请人的各项 资料是否真实，根据核实情况决 定是否颁发数字证书⑴核发证书图13证书使用总是有期限的，在证书发 行签字时都规定了失效日期； 具体使用期长短由CA根据安全策略 来定 更换过期证书，密钥对也需要定期 更换⑵ 证书更新图14证书的撤消可以有许多理由，如发现、 怀疑私钥被泄露或检测出证书已被篡改， 则CA可以提前撤销或暂停使用该证书 申请撤销 证书撤销表CRL举例：深圳CA⑶ 证书撤销图15 ⑷证书验证证书是通过信任分级层次体系（ 通常称为证书的树形验证结构）来 验证的。

每一个证书与签发数字证 书的机构的签名证书关联 验证举例说明图16 2.CA的树型验证结构 图17国外CA中心介绍图18 世界上较早的数字证书认证中心、处 于领导地位和全球最大的PKI／CA运营商 是美国VeriSign公司，该公司成立于1995 年4月，位于美国的加利福尼亚州它为 全世界50个国家提供数字证书服务，有超 过45000个互联网服务器接受该公司的服 务器数字证书，使用它提供的个人数字凭 证的人数也已经超过200万 另外一家著名的公司是加拿大的 ENTRUST图193.我国认证中心现状我国安全认证体系(CA)可分为金融CA与非金 融CA两种类型来处理 在金融CA方面，根证书由中国人民银行管理 ，根认证管理一般是脱机管理；品牌认证中心采 用“统一品牌、联合建设”的方针进行 在非金融CA方面，最初主要由中国电信负责 建设图20我国的CA又可分为行业性CA和区域性CA两大 类 行业性CA：中国金融认证中心（CFCA）和中 国电信认证中心（CTCA）是行业性CA中影响最大 的两家 区域性CA大多以地方政府为背景，以公司机 制来运作，如广东CA中心（CNCA）、上海CA中心 (SHECA)、深圳CA中心(SZCA)，其中影响最大的是 广东CA中心（CNCA）和上海CA中心(SHECA)。

图21 v如果按照技术来源划分，CA中心还可分为引进 国外技术与完全自主开发两类vCFCA和天威诚信属于前者，广东CA和上海CA 都属于后者v深圳CA与广东南海CAvCFCA的SET系统由IBM公司承建，NON-SET系 统由德达/SUN/Entrust集团承建天威诚信的技 术平台来自VeriSign但它们的密码模块却都是由 国内自主开发，经国家安全部门认可的图22CFCA 是全国唯一的金融根认证中心，由中国 人民银行负责统一规划管理，中国工商银行、中 国银行、中国农业银行、中国建设银行、交通银 行、招商银行、中信实业银行、华夏银行、广东 发展银行、深圳发展银行、光大银行、民生银行 和福建兴业银行共十三家商业银行联合建设，由 银行卡信息交换总中心承建，建立了SETCA和Non- SETCA两套系统，于2000年6月29日正式开始为全 国的用户提供证书服务⑴ 中国金融认证中心（CFCA）图23 在管理分工上，中国人民银行负责管理根认 证中心CFCA，并负责审批、认证统一的品牌认 证中心一般脱机进行 品牌认证中心由成员银行接受中国人民银行 的委托建设、运行和管理，建立对最终持卡人 、商业用户和支付网关认证证书的审批、管理 和认证等工作，其中管理包括证书申请、补发 、重发和注销等内容。

图24图25图26 ⑵ 广东CA及“网证通”（NETCA）系统广东省电子商务认证中心是国家电子商务的试 点工程，其前身是中国电信南方电子商务中心，创 立于1998年2001年1月，广东省电子商务认证中 心的“网证通”电子认证系统通过国家公安部计算机 信息系统安全产品质量监督检测，被认定为安全可 信的产品2001年8月，国家密码管理委员会办公 室批准广东省电子商务认证中心使用密码和建立密 钥管理中心，成为国内提供网络安全认证服务的重 要力量图27图28图29 ⑶ 上海CA（SHECA）图30上海CA成立于1998年，专门从事信息 安全技术认证和安全信任服务以及相关 产品的研发和整合，提供包括安全设计 、安全评估（风险评估）、安全检测（ 入侵检测、审计）、漏洞扫描、安全敏 感数据托管、电子举证、公正时间戳等 服务图31国内主要的电子商务认证中心北京数字证书认证中心： 深圳市电子商务认证中心： 广东省电子商务认证中心： 海南省电子商务认证中心： 湖北省电子商务认证中心： 上海电子商务安全证书管理中心： 中国数字认证网： 山西省电子商务安全认证中心： 中国金融认证中心： 天津电子商务运作中心： 天威诚信CA认证中心：图323.3.3 数字证书数字证书就是标志网络用户身份 信息的一系列数据，用于证明某一主 体（如个人用户、服务器等）的身份 以及其公钥的合法性的一种权威性的 电子文档，由权威公正的第三方机构 ，即CA中心签发。

1.数字证书的概念图33 数字证书的拥有者可以将其证书提供给其他人 、Web站点及网络资源，以证实他的合法身份 ，并且与对方建立加密的、可信的通信 以数字证书为核心的加密技术可以对网络上传 输的信息进行加密和解密、数字签名和签名验 证，确保网上传递信息的机密性、完整性，以 及交易实体身份的真实性，签名信息的不可否 认性，从而保障网络应用的安全性图34图35目前大多数商务网站使用用户名和口令 的方式来对用户进行认证，这种方式需要站 点收集所有注册用户的信息，维护庞大的用 户信息数据库同时这种传统登录机制的安 全性也比较脆弱，容易遭到外界的攻击破坏 数字证书的安全与认证功能消除了传统 的口令机制中内在的安全脆弱性，为每个用 户提供唯一的标识，以便利的方式来访问 Web服务器，降低了网站的维护和支持成本 图362.数字证书的内容 数字证书的内部格式遵循X.509标准 X.509是由国际电信联盟(ITU-T)制定 的数字证书标准根据这项标准，证书 包括申请证书个人的信息和发行证书机 构的信息图37l 证书拥有者的姓名；证书所有人的名称，命名规则一般采用 X.500格式； l 证书的版本信息用来与X.509标准的将来版本兼容。

l 证书的序列号每个证书都有一个唯一的证书序列号 l 证书所使用的签名算法 l 颁发者即证书的发行机构名称，命名规则一般采用X.500格 式 l 证书的有效期限现在通用的证书一般采用UTC时间格式，它 的计时范围为1950-2049； l 证书主题名称 l 证书所有人的公开密钥包括公钥算法、公钥的位字符串表示 （只适用于RSA加密体制）； l 包含额外信息的特别扩展 l 证书发行者对证书的签名 标准的X.509数字证书包含内容：图38图39图403.数字证书的有效性 数字证书才有效条件： ⑴证书没有过期 ⑵密钥没有修改 ⑶用户仍然有权使用这个密钥 ⑷证书不在无效证书清单中图411.个人数字证书 2.单位证书 3.服务器证书 4.代码签名证书数字证书按照使用对象划分 :4.数字证书的类型 图42 ① 个人证书(客户证书)个人身份证书 个人身份证书是用来表 明和验证个人在网络上身份的证书，它确保 了网上交易的操作的安全性和可靠性个人 身份证书可以存储在软盘或IC卡中个人安全电子邮件证书 个人安全电子 邮件证书可以确保邮件的真实性和保密性图43 ② 单位证书单位（客户端）数字证书 主要 用于单位安全电子事务处理。

具体应 用如：安全电子邮件传送、网上公文 传送、网上签约、网上招标投标、网 上办公系统等图44 ③服务器证书服务器证书（站点证书） 服务器 证书主要用于网站交易服务器的身份识 别，使得连接到服务器的用户确信服务 器的真实身份目的是保证客户和服务 器之间交易、支付时确保双方身份的真 实性、安全性、可信任性等图45④代码签名证书又称代码数字证书，代表软件 开发者的身份，用于对其开发的 软件进行数字签名，证明软件的 合法性图46 软件数字证书使用前图47 软件数字证书使用前图48软件数字证书使用后图49试用版证书申请访问链接中国数字认证网：，为个人或非营利性机构提 供有效期限为一年免费试用数字证书，同时也提供30天的免费临时测试 证书； 广东省电子商务认证中心：，提供90 天试用证书； 图50谢谢观赏！深圳信息职业技术学院制作人： 万守付。